[Nlnog] Anti-spam technologie: RHELO
Jeroen Massar
jeroen at unfix.org
Wed Nov 5 16:03:01 UTC 2003
-----BEGIN PGP SIGNED MESSAGE-----
Miquel van Smoorenburg wrote:
> Ik neem aan dat iedereen wel eens gekeken heeft naar SPF (Sender
> Permitted From). Zoniet, http://spf.pobox.com/
>
> Ik heb daar een variant op geschreven, RHELO. Zie
> http://www.miquels.cistron.nl/rhelo/
>
> Opbouwende kritiek ?
I'll try :)
Had je dit al aan ASRG doorgemailed btw?
Die kunnen je veel beter afbouwen als ik.. *fluit*
8<--------
At SMTP conversation time, the HELO hostname is looked up in
the DNS, just as the domain part of MAIL FROM would be with SPF,
and it is checked if the IP address of the SMTP client is allowed
to use that HELO string.
- --------->8
IMHO zeker een valide punt. Hierdoor zou je iig al kunnen zekermaken
dat bepaalde hosts deze mails mogen originaten.
Checking http://spf.pobox.com/dns.html?mydomain=unfix.org&deny=deny
wat wel handig tooltje is, maar ik denk dat dat veel configgen wordt.
Ik zie liever dan iets als:
; Als "helo unfix.org" even lookuppen:
unfix.org. TXT "RHELO lookup rhelo.unfix.org"
; Deze mogen mailen
rhelo.unfix.org. TXT "RHELO 10 allow 195.64.92.136/32"
rhelo.unfix.org. TXT "RHELO 20 allow 3ffe:8114:2000:240::/60"
; Deze is toch niet zo lief
rhelo.unfix.org. TXT "RHELO 30 deny 3ffe:8114:2000:242::/64"
Let op dat ik ordering add want dat moet helaas wel.
Default = deny natuurlijk. (jaaa.. acl's in dns :)
Dan kan ik op diezelfde manier ook:
sixxs.net. TXT "RHELO lookup 10 rhelo.unfix.org"
sixxs.net. TXT "RHELO lookup 10 rhelo.ipng.nl"
er bij zetten zodat @sixxs.net ook vanaf die prefixes mag komen
Als beiden niet matchen dan default deny, maar bij explicit
deny natuurlijk weg ermee.
zoiets zit zo te zien ook in http://spf.pobox.com/draft-mengwong-spf-02.txt
Die auteur van die draft mag ook leren om 2001:db8::/32 in docs te usen :)
IMHO zal er nog wat aan de symantics etc moeten worden gesleuteld in die draft.
Ik denk wel dat de RHELO manier effectiever kan zijn.
Het scenaria van "ik ga op vakantie met laptop, plug-it-in.
Probeer mail te zenden via locale smtp zoals het ooit bedoelt was
en dat werkt niet" kan je gelukkig overkomen door SMTP+TLS+SASL :)
8<--------
Since each HELO string is saved in the Received: headers of an
e-mail message, it is even possible to do this checking at
the endpoint, not at SMTP conversation time.
- -------->8
En als ik dan gewoon fijn wat headers spoof?
Dan kan ik die Received lines niet vertrouwen :(
8<--------
Having to use a DNS zone to register clients in that originate
spam means two things - one, traceability. Someone registered
the domain. The DNS for the domain has to run somewhere. Two, money.
Spammer domains will be blocked. Everytime that happens, the spammer
has to register and pay for new domains.
- --------->8
Traceability als je domein niet ergens als "Bob De Bouwer, China"
geregistreerd staat ja :(
Je kan dan idd wel het domein blokken, maar dan kom je weer op RBL's uit.
En daar er meer mogelijkheden zijn om DNS naampjes te bedenken dan IP's
te blokken, wordt moeilijk (okee.. in IPv6 niet maar in IPv4).
ISpamThou at AsIAmAMajorSpammer.tk.. toch gratis :)
Sabri Berisha wrote:
> Die traceability is overigens ook maar relatief. Je kan whois info heel
> makkelijk faken. Doe maar es een whois op upfuckingyours.org...
NS1.UPFUCKINGYOURS.ORG has address 193.109.122.210
210.122.109.193.in-addr.arpa domain name pointer ns1.cluecentral.net.
Saab toch.. jij jij vuile... spfammer.... :)
Denk alleen dat je iets te anti spam bent gelukkig en
dat is maar goed ook, anders zouden ze een slim persoon hebben.
Maar idd en als Saab het kan, kan elk random persoon het.
Sterker en actueler voorbeeld: emailreclame.com
Om het maar over een spammer te hebben.
En anders kan je natuurlijk ook op de bevelander constructie
terugvallen, zie bijv premiumxs.net/midhold.nl/coolcom.nl (een persoon, meerdere BV's :)
Die worden overigens beiden al door spamvrij onderzocht ;)
Greets,
Jeroen
-----BEGIN PGP SIGNATURE-----
Version: Unfix PGP for Outlook Alpha 13 Int.
Comment: Jeroen Massar / jeroen at unfix.org / http://unfix.org/~jeroen/
iQA/AwUBP6kfNSmqKFIzPnwjEQIc1QCeIKKMkv3J9jpHOoCawv+YDuGPHFQAn2sQ
8v2MYUET3oPX1MjF6ba5sNgd
=cz6e
-----END PGP SIGNATURE-----
More information about the NLNOG
mailing list